セキュリティの脆弱なサービスやアプリが存在する問題

──それは怖いですね……。でも、なぜアプリ開発会社はUDIDを取得できるようになっていたんですか。

津田：いくつかの目的があります。1つはモバイル広告をトラッキングする際、ユーザーを識別するために使われました。もう1つは、取得したUDIDをユーザーのログインパスワードの代わりに使っていたケースもあるようです。完全に同じというわけではありませんが、ガラケーのウェブ向けサービスで一度登録すると、パスワードを入力せず、1クリックだけでログインできる「かんたんログイン」サービスがありますが、あれも携帯電話端末に固有に割り当てられている「契約者固有ID」というものを認証に使っていました。[*10] あれに近いイメージだと思えばわかりやすいかと思いますが、これはセキュリティ面で脆弱な利用法で、こうした利用法には批判の声もありました。

──アップルは2011年8月、iOS5のBeta 5が配布されたときの文書内に、UDIDにアクセスするAPIが「depricated（利用不可）」と記載し、将来的にUDIDを無効にする予定を発表しました。[*11] これはそうしたアプリのセキュリティやプライバシー意識の高まりが原因なんでしょうか。

津田：その文書が発表された後も、実際は猶予期間として機能そのものは使えました。ただ、後にUDIDにアクセスするアプリケーションは、AppStoreの審査でリジェクトされるようになったようです。[*12] アップルはこの決定について、理由を明らかにはしていませんが、UDIDをサービスの認証に使うセキュリティ的に脆弱なサービスやアプリの存在が問題となったことが引き金になったみたいですね。

──具体的にはどんなサービスやアプリなんでしょう？

津田：これもいろいろな説がありますが、1つはJailbreak [*13] 関連の問題です。Jailbreakとは、ざっくりいえば「iPhoneのOSを改造することで、サポートされてないさまざまな機能を利用できるようにすること」ということです。通常利用するiPhoneのUDIDは固有の番号で、ほかのiPhoneとは番号がかぶらないようになっていますが、JailbreakしたiPhoneだとUDIDを偽装できるので、JailbreakしたiPhoneを使ってUDIDを使ってログインするようなサービスやアプリがある場合、ほかのユーザーとしてログインができる──いわゆるなりすましができてしまう危険性があるので、そこを対策しようと。あともう1つは、UDIDを使ったターゲット広告などが問題視されたためという説もありますね。いずれにせよアップルとしては、UDIDを取得するAPIを廃止している最中にこうした流出騒ぎが起きてしまったので、「もっと早く廃止を進めておくべきだった」と苦々しく思っているんじゃないでしょうか。

──先ほど「今回の一件ではUDID以外の個人情報は漏れていないようです」と言われました。アップルから今回の情報が漏れたわけではなく、FBIでもないとすると、アンチセックはどこから情報を抜き取って公開したのでしょうか。

津田：9月10日、米国の電子出版関連企業BlueToadがアンチセックが盗み出したUDIDリストは、同社のサーバーから盗み出されたものであることを認め、発表しました。[*14] BlueToadの説明によれば、同社は従来開発目的でUDIDを集めていましたが、アップルの方針変更以降は保存することをやめたそうです。しかし、サーバーの脆弱性を突かれ、アンチセックにそれまで保存していたUDIDデータを盗み出されたと。また、同社は元からクレジットカード番号や社会保障番号などの機密情報は以前から収集したことがないそうで、それが本当ならば、流出したデータがクリティカルな目的で利用される可能性は低いですね。今回BlueToadが流出元だったという事実は、セキュリティ・コンサルタントのデビッド・シュエツ氏が突き止め、同社に連絡することで真相が明らかになりました。[*15] それを突き止めた手法は実にドラマのようにスリリングです。経緯がTechCrunchの記事 [*16] にまとまっているので、興味がある方はご一読いただければ。

津田大介

ジャーナリスト／メディア・アクティビスト。1973年生まれ。東京都出身。早稲田大学社会科学部卒。早稲田大学大学院政治学研究科ジャーナリズムコース非常勤講師。一般社団法人インターネットユーザー協会代表理事。J-WAVE『JAM THE WORLD』火曜日ナビゲーター。IT・ネットサービスやネットカルチャー、ネットジャーナリズム、著作権問題、コンテンツビジネス論などを専門分野に執筆活動を行う。ネットニュースメディア「ナタリー」の設立・運営にも携わる。主な著書に『Twitter社会論』（洋泉社）、『未来型サバイバル音楽論』（中央公論新社）など。

その他の記事

	すべてがオンラインへ（高城剛）
	週刊金融日記 第308号【日本の大学受験甲子園の仕組みを理解する、米国株は切り返すも日本株は森友問題を警戒他】（藤沢数希）
	中国バブルと山口組分裂の類似性（本田雅一）
	そんなに「変」じゃなかった「変なホテル」（西田宗千佳）
	「道具としての友人」にこそ、友情は生まれる（名越康文）
	選挙だなあ（やまもといちろう）
	（ある意味で）巨星・石原慎太郎さんを悼んで（やまもといちろう）
	健康のために本来の時間を取り戻す（高城剛）
	厚労省統計問題の発生理由が“プログラムのバグ”とされていることに感じる疑問（本田雅一）
	気候変動にまつわる不都合な真実（高城剛）
	人間にとって自然な感情としての「差別」（甲野善紀）
	【疲弊】2021年衆議院選挙の総括【疲弊】（やまもといちろう）
	「モザイク」は誰を守っているのか−−向こう側からは見えている（小田嶋隆＆平川克美）
	スターウォーズとレンズとウクライナ紛争（高城剛）
	なくさないとわからないことがある（天野ひろゆき）